Defaults.Exposed › Konfiguration › DNSSEC

Så konfigurerar du DNSSEC på Namecheap

Aktivera DNSSEC på Namecheap så att ingen kan förfalska dina DNS-svar och omdirigera dina besökare eller din e-post.

Det här betyder för din verksamhet

Varje gång någon öppnar din webbplats eller mejlar dig frågar deras dator DNS-systemet var de hittar dig. Dessa svar färdas vanligtvis osignerade, så en angripare som kan störa uppslaget kan tyst skicka dina besökare till en förfalskad webbplats eller omdirigera din e-post till sin egen server — allt medan din genuina domän fortfarande visas i adressfältet.

DNSSEC stänger den dörren. Det kryptografiskt signerar dina DNS-svar, så att alla som slår upp dig kan bekräfta att svaret verkligen kom från dig och inte manipulerades längs vägen. Enkelt uttryckt: det förhindrar domänkapning och cache-förgiftning, de attacker som vapenmässigt använder din egen domän mot dina kunder. Det är gratis, och när Namecheap hanterar din DNS är det nära ett klick.

Hur DNSSEC fungerar (och varför Namecheap kan vara enkelt)

DNSSEC har två halvor: DNS-hosten signerar dina records och publicerar nycklarna (en DNSKEY) plus ett litet fingeravtryck kallat ett DS-record, och registraren lämnar in det DS-recordet i föräldrazonen så att resten av internet litar på signaturer.

När Namecheap är både din registrar och din DNS-host — det vill säga din domän använder Namecheap BasicDNS / PremiumDNS — hanterar Namecheap båda halvorna med en enda switch. Det signerar zonen och publicerar DS-recordet uppåt i kedjan åt dig. När din DNS hostas någon annanstans kopierar du i stället DS-recordet från den hosten in i Namecheap för hand.

Den verkliga risken — gör detta i ordning

DNSSEC kan ta din domän offline om det konfigureras fel. Det sker på två sätt:

• Ett DS-record hos registraren som inte matchar det DNS-hosten faktiskt signerar med.
• Att flytta din DNS till en annan host (eller stänga av signering) utan att först ta bort DS-recordet — det gamla DS-recordet kräver fortsatt signaturer som inte längre finns, och uppslag misslyckas.

Så: om du någonsin byter DNS bort från Namecheap, eller bort från Namecheaps namnservrar, inaktivera DNSSEC och rensa DS-recordet först, flytta sedan. Följ flödet nedan i ordning och du är säker.

Bekräfta att Namecheap hanterar din DNS

Kontrollera vad som svarar på DNS för din domän. I ditt Namecheap-konto, öppna domänen och titta på inställningen Nameservers på fliken Domain:

• Om den är inställd på Namecheap BasicDNS eller Namecheap Web Hosting DNS / PremiumDNS, hostar Namecheap din DNS — använd ettklicksflödet.
• Om den visar Custom DNS som pekar på en annan leverantör, hostar den leverantören din DNS — aktivera DNSSEC där först, lägg sedan till det DS-record den ger dig i Namecheap.

Steg för steg på Namecheap (Namecheap är registrar och DNS-host)

1. Logga in på Namecheap.
2. Gå till Domain List och klicka på Manage bredvid din domän.
3. Öppna fliken Advanced DNS.
4. Scrolla till avsnittet DNSSEC.
5. Slå på DNSSEC.
6. Bekräfta. Med Namecheaps egna DNS signerar Namecheap zonen och publicerar DS-recordet uppåt i kedjan åt dig — det finns inget att kopiera någon annanstans.

Steg för steg när din DNS hostas någon annanstans

Om Namecheap är din registrar men ett annat företag hostar din DNS:

1. Aktivera DNSSEC hos din DNS-host först och kopiera de DS-record-värden den producerar — vanligtvis Key Tag, Algorithm, Digest Type och Digest.
2. I Namecheap, öppna domänen och gå till fliken Advanced DNS, sedan avsnittet DNSSEC.
3. Lägg till ett DS-record och ange värdena från din DNS-host exakt i matchande fält.
4. Spara. DS-recordet finns nu i föräldrazonen och förtroendekedjan är komplett.

Vanliga misstag på Namecheap

• Switchen gör allt bara när Namecheap också hostar din DNS. På Custom DNS räcker det inte att vända den ensam — du måste klistra in DS-recordet från din riktiga DNS-host.
• Dubbelsignera inte. Om din externa DNS-host redan signerar zonen lägger du bara in dess DS-record hos Namecheap — du aktiverar inte också Namecheaps egna signering.
• Kopiera DS-värden tecken för tecken. En enda fel siffra i Digest innebär att DS:et inte matchar signaturer, vilket är exakt det som tar en domän offline. Klistra in, skriv aldrig om.
• Matcha algoritm- och digest-type-nummer med vad din DNS-host rapporterar — gissa inte.
• Inaktivera DNSSEC innan du byter namnservrar. Att byta DNS-host med ett gammalt DS-record fortfarande på plats är det klassiska sättet att ta en domän offline.
• Ge det tid. Ändringar kan ta från minuter upp till en dag att spridas helt.

Verifiera att det fungerade

När DNSSEC är aktiverat (och eventuellt DS-record finns på plats), kör den kostnadsfria kontrollen på den här webbplatsen. Den berättar på enkelt språk om DNSSEC är korrekt publicerat och betrott för din domän.

Klart? Kontrollera din domän gratis för att bekräfta att det fungerade — och se ditt fullständiga betyg mot alla 34 kontroller.